Publicidad en el RGPD

COMUNICACIONES ELECTRÓNICAS  

Nos referimos, fundamentalmente, a los correos electrónicos o emails, aunque también entran en esta categoría el fax, los whatsapp, los SMS y MMS y otros medios similares.

Cuando las comunicaciones se llevan a cabo por medios electrónicos, hay que atenerse a lo establecido en el art. 21 de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico   

De dicho artículo se sacan dos conclusiones:  

1. se prohíbe expresamente enviar correos electrónicos sin tener el consentimiento del destinatario (ya sea una persona física o una empresa).   
2. Sólo existe una excepción al respecto, podremos enviar emails comerciales, aun no teniendo el consentimiento del destinatario, si ya hemos mantenido una relación contractual previa con el mismo y siempre que se trate de productos o servicios similares a los que inicialmente fueron objeto de contratación. No existen más excepciones. Podríamos considerar entonces, que la base legal en este supuesto sería la contenida en el art. 6.1.b del RGPD: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales  

 
En cualquier caso, tendremos que facilitar al destinatario la posibilidad de oponerse al envío de publicidad incluyendo una dirección de correo electrónico en cada una de las comunicaciones comerciales que realizamos.  

COMUNICACIONES NO ELECTRÓNICAS  

En otro caso, es decir, cuando las comunicaciones se realicen por medios no electrónicos será preciso que el tratamiento se ampare en las dos siguientes bases legales:  

1. bien en la prestación de un consentimiento   
2. bien que sea de aplicación el artículo 6.1 f) del Reglamento, según el cual podrá tener lugar el tratamiento, en el ámbito del sector privado, si el mismo “es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño   

• Consentimiento 
  • El consentimiento debe ser expreso. No puede ser tácito y debe ser diferenciado del resto de finalidades para las que el Responsable va a utilizar los datos de carácter personal 

• Intereses legítimos perseguidos por el responsable del tratamiento o por un tercero   

Así, el considerando 47 recuerda que el interés legítimo de un responsable, de un cesionario o de un tercero, “puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable”, añadiendo posteriormente que “en cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior”.   

Dicha ponderación debe tener en cuenta:  

• que se trate de un producto o servicio similar al previamente contratado por el cliente, no extendiéndose a otros.   

Habrá que determinar exhaustivamente el concepto de “similitud entre servicios o productos”, ya que hay situaciones en las que no queda claro y tendremos que esperar más aclaraciones de la AEPD.  

• que debe realizarse siempre que el interesado mantuviera una relación con la entidad, sin afectar a aquéllos en que el cliente hubiese cesado en esa relación.   

Cuando se trata de una prestación de servicios de tracto sucesivo, con plazo de tiempo determinado, está claro que existe un plazo determinado en el cual podemos considerar cuando una persona es cliente o no de la entidad  

En los casos donde no es un servicio lo que se presta, sino que se trata de la compra de un producto; podríamos considerar que sigue existiendo relación comercial mientras dure la garantía del producto.  

Sin embargo, existen otros casos, como la prestación de servicios instantáneos o la compra de un producto perecedero, que no disponga de garantías legales suficientemente amplias, donde determinar si se trata de un cliente activo o de un excliente no es tan sencillo. En estos supuestos, recomendamos obtener el consentimiento del interesado para poder utilizar sus datos con fines publicitarios  

• que la mercadotecnia o el envío de comunicaciones no puede partir de la elaboración de perfiles exhaustivos del interesado mediante la combinación de diferentes fuentes de información para las que no ha dado su consentimiento.   

En estos casos, al combinar la finalidad publicitaria con la del perfilado del interesado, requiere del estudio de varias connotaciones y posibilidades que se verán más adelante en este informe.  

Por otro lado, se deduce que la elaboración de perfiles exhaustivos sólo es posible mediante tratamientos tecnológicos avanzados, por lo que no debería ser posible, en tratamientos manuales  

Además, el Reglamento General De Protección de Datos enumera algunos supuestos que pueden ser tomados en consideración para determinar la aplicabilidad de dicha regla.   

Así, se señala que “El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo”.  

Por otro lado, si las normas reguladoras de la privacidad en las comunicaciones electrónicas, que establecen un régimen especialmente estricto a la hora de obtener el consentimiento del interesado exceptúan de dicho consentimiento el supuesto referido a comunicaciones relativas a “productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”, cabe deducir que esta regla sería aplicable por analogía a los supuestos en que dichos requisitos son menos exigibles; es decir, a las acciones realizadas a través de otros canales de comunicación.  

Para la licitud del tratamiento basado en el interés legítimo, también es necesario que se cumpla con el resto de los requisitos establecidos en la normativa de protección de datos, entre los que interesa destacar los siguientes:   

1. Cumplimiento del deber de información previsto en los artículos 13 y 14 del RGPD. En cada comunicación comercial se informará de dichos extremos. 
2. Asimismo, deberá tenerse en cuenta la regulación de los sistemas de exclusión publicitaria contenida en el artículo 23 de la citada Ley Orgánica 3/2018; es decir, deben consultarse los sistemas de exclusión publicitaria a menos que el afectado hubiera prestado, conforme a lo dispuesto en esta ley orgánica, su consentimiento para recibir la comunicación a quien pretenda realizarla.   
3. Debe garantizarse el ejercicio del derecho de oposición conforme a lo previsto en los apartados 2 y 3 del artículo 21 del RGPD; es decir, el interesado puede oponerse al tratamiento de sus datos personales que tenga por objeto la mercadotecnia directa (incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia). Se debe facilitar un medio sencillo y gratuito para el ejercicio del derecho de oposición al tratamiento de datos con fines de mercadotecnia sin que afecte a otros tratamientos. En estos casos, el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.  

Elías Vallejo

Equipo Govertis

La relación laboral como base de legitimación para el envío de la nómina al correo electrónico personal del trabajador

Hoy me gustaría hablar de una cuestión que, ciertamente, es algo recurrente en las empresas y, a la vez, es un tema que se ha debatido y comentado hasta la saciedad, con diferentes puntos de vista: Es el relativo al envío de la nómina de un trabajador, en formato electrónico, a la dirección de email personal de éste. Para algunos, un auténtico drama. Seguro que habrá personas que, a pesar de que utilicen Facebook hasta para informar a sus contactos de “cuántos lunares tienen en el cuerpo”, se sentirán tremendamente ofendidos y entenderán sus derechos lesionados porque su empleador, en 2020, ha decidido transmitirles que les enviará la nómina por correo electrónico, a su dirección personal (evidentemente, siempre que el trabajador disponga de ella, que tampoco se quiere dejar a nadie atrás). Bueno, al final, los datos personales, como piensa mucha gente, sólo se pueden utilizar cuando demos nuestro consentimiento al responsable que los utilice ¿no?.

El problema es que, en la mayoría de los artículos, opiniones e, incluso, resoluciones judiciales de los más Altos Tribunales que existen actualmente sobre esta cuestión se defiende una posición con la que no estoy demasiado de acuerdo y a la que no acabo de cogerle el sentido. La AEPD también reconoce más de lo mismo, pero, sinceramente, me da la impresión que venimos demasiado viciados de la lógica de la legislación anterior en algunos casos, y también que se ha tomado algún ejemplo mediático como norma general que debe ser contornada en cada caso. Por ello, me gustaría hacer una reflexión en las próximas líneas, no muy larga porque, poco a poco, se aprecian cada día más las opiniones que “van al grano”.

Consultadas todas las instancias que anteceden a los Tribunales que tienen “la última palabra”, parece interesante dirigirnos directamente al análisis de una sentencia que ha tenido bastante popularidad, ya que el tema es, en sí, “demasiado” popular, y que ha supuesto la casación de doctrina. Me refiero a la STS 4086/2015, dictada por la Sala de lo Social de nuestro Tribunal Supremo, en la que desestimaba el recurso que había sido interpuesto por la reclamada, la empresa UNISONO SOLUCIONES DE NEGOCIO, S.A., que había sido previamente denunciada por disponer de alguna cláusula abusiva en sus contratos de trabajo, en concreto, la relacionada con la imposición de poder utilizar los medios de comunicación personales de los trabajadores (teléfono y correo electrónico) para efectos de comunicaciones laborales.

La mencionada sentencia termina con el fallo del Alto Tribunal argumentando que la entidad reclamada no tiene derecho a utilizar, en este caso, los medios de contacto privados y personales de los trabajadores sin el consentimiento válido de los mismos, siempre que la entidad pretenda hacerlo a través del consentimiento de tales trabajadores mostrado en la cláusula que recientemente habían incorporado a sus contratos de trabajo y que, literalmente, reconocía lo siguiente: “Ambas partes convienen expresamente que cualquier tipo de comunicación relativa a este contrato, a la relación laboral o al puesto de trabajo, podrá ser enviada al trabajador vía SMS o vía correo electrónico, mediante mensaje de texto o documento adjunto al mismo, sin menoscabo del cumplimiento por parte de la empresa de los requisitos formales exigidos por la normativa laboral vigente, y según los datos facilitados por el trabajador a efectos de contacto. Cualquier cambio o incidencia con respecto a los mismos, deberá ser comunicada a la empresa de forma fehaciente y a la mayor brevedad posible”. Este fallo ha sido tomado en consideración por todos los actores, casi por unanimidad, como la imposibilidad de solicitar al trabajador sus contactos para mantener una adecuada relación laboral, salvo que éste último ofreciese su consentimiento, el cual además debería de ser válido. Pero, personalmente, yo no llegaría a esa conclusión tan rápido. Sobre todo, porque la sentencia deja muy claro, en su primer fundamento de derecho, cuál es su objeto, confirmando que la cuestión que se debate en las actuaciones se reduce a determinar la validez de una cláusula/tipo que la empresa demandada incluía en sus contratos de trabajo, lo cuál podría provenir igualmente de un consentimiento inválido (como se defendía, de hecho, en la argumentación jurídica), o cualquier otra lesión que pudiera producir la referida cláusula.

Una vez expuesto el resultado, y definido el objeto de la mencionada sentencia, creo que es, cuanto menos, prudente, no abanderar la imposibilidad de utilizar estos datos personales en las relaciones laborales (como decíamos que se ha hecho hasta la fecha), sino que deberemos ir razonando según la regla del “caso a caso”.

Entrando más en materia sobre la sentencia objeto de estudio, considero interesante la estructuración de la respuesta que desarrollan los jueces, lo cual planifica u organiza el argumento de cada situación a razonar. En efecto, en el primer fundamento de derecho se muestra, en su apartado cuarto, que la decisión final atenderá a una estructura en la que se analice, por un lado, la exposición a la normativa de protección de datos, así como la doctrina constitucional interpretativa de dicha normativa para, por otro lado, razonar acerca de la vigencia de los derechos fundamentales en el ámbito laboral y concluir con la aplicación al caso concreto de la anterior exposición.

Por supuesto, existen diferentes argumentos que no admiten discusión, y que permiten llegar a conclusiones como que “los derechos fundamentales no pueden ser transgredidos en el ámbito profesional” o que “el consentimiento prestado en el ámbito profesional, en donde podría existir una relación de superioridad entre empleador y trabajador, no sería válido por no ser voluntario o libre, al no ser que se ofrezcan más opciones”, situaciones que están meridianamente claras. Pero, en lo que realmente creo que está la clave de la cuestión para “acertar” en cada caso, y en donde los jueces del Tribunal Supremo ofrecen una justificación poco desarrollada, a mi juicio, es en conocer si dichos mecanismos son o no son necesarios para la relación laboral.

Para dilucidar esta cuestión, el Alto Tribunal establece la necesidad insalvable del consentimiento por considerar que dicha información no es necesaria para el desarrollo del puesto de trabajo, ya que el mismo se ha venido desarrollando sin necesidad de tales datos, por lo que habría que considerar que dicha información es, técnicamente, innecesaria, terminando su exposición sobre este particular sin mayor abundamiento. Y mi pregunta es, ¿algo que se defina como necesario debe de serlo cada día? Es decir, ¿es posible que algo sea necesario, aunque sólo se utilice en algún momento de la relación laboral? Con un ejemplo banal igual se entiende mejor; ¿Es necesario, además de obligatorio, disponer de un extintor en una oficina? Quizás llevemos 10 años trabajando en esa oficina y nunca los hayamos utilizado porque nunca se haya producido un fuego, pero en el caso de que se produjese, además de ser obligatorio por ley, ¿se podría considerar necesario? Yo creo que sí, por lo que la escasa argumentación de la citada sentencia, en este ámbito, me parece más una forma de eliminar una excepción que la ley anterior sobre protección de datos incorporaba por alguna razón, quizá la misma que hace que, actualmente, siga existiendo la posibilidad de tratar datos personales para gestionar una relación contractual o, en este caso, laboral. De cualquier forma, parece que el Tribunal Supremo deja un espacio por si se consiguiese justificar la necesidad de utilizar esos datos para la gestión adecuada de la relación laboral, la causa de licitud descansaría, actualmente, en el artículo 6.1, b) RGPD.

A donde quiero llegar con esta reflexión es que, en ciertas ocasiones, me parece ciertamente incoherente defender a ultranza unos derechos que, sí, en ocasiones es cierto que se vulneran y merecen la persecución oportuna, pero que, en muchas otras, se intentan criminalizar actuaciones que la mayoría de las personas darían por buenas por entender que nada se ha lesionado en su esfera digna de protección. Esto se ve bien cuando se desciende a la práctica y nos preguntamos cosas como:

• ¿Es entendible que un empleador no pueda contactar en el teléfono personal de un empleado, por ejemplo, porque tiene una urgencia con la organización del personal y necesita alertar al mismo de un cambio de horario urgente? Evidentemente hablo de locales pequeños, autónomos o similares que quizás, en muchos casos, no tienen posibilidad de comprar teléfonos de empresa para sus trabajadores.

• ¿Es entendible que un empleador no pueda comunicarse con sus trabajadores, sin su previo consentimiento, a través de teléfono personal o email personal (siempre que no existan medios profesionales), cuando en el proceso de reclutamiento, para convocar a esas personas a unas entrevistas es muy posible que haya necesitado contactarles a través de dichos medios? Seguro que habrá personas que denuncien un caso, pero no el otro.

Podríamos plantearnos diversas cuestiones adicionales, y algunas carecerían de lógica si se pretende aplicar una legislación sobre la privacidad de las personas de una forma adaptada al caso concreto. Esto me hace pensar que, quizás, la interpretación que se defiende hasta ahora, de forma general, deba de ser contornada para presumir que existen situaciones, como la expuesta, en las que el uso de información por parte de un empleador, con quien existe una relación de confianza y quien necesita comunicarse con un trabajador para gestionar la relación laboral puedan ser conformes a la legislación sobre protección de datos personales sin necesidad de consentimiento por parte del trabajador, por entender precisamente que son necesarias para la gestión adecuada de la relación. En este sentido, basta recordar que, en la situación analizada sobre el envío de nóminas al correo electrónico personal del trabajador, es obligación del empleador poner a disposición del trabajador sus recibos de salarios, los cuales, conforme se ha podido entender en los últimos años, pueden ofrecerse en formato electrónico, conforme estipula la STS 5602/2016, que supuso un cambio de corriente jurisprudencial debido al flagrante avance de las tecnologías. Quizás el camino de esta última sentencia mencionada, que demuestra flexibilidad y atención a las circunstancias actuales, es el que deba ir siguiendo la jurisprudencia en el caso que nos ocupa.

Viendo lo visto, creo firmemente que las leyes de protección de datos personales han sido desarrolladas con un objetivo, ofreciendo una solución a un problema social, y tienen una razón de ser. La principal, es garantizar este derecho, que nuestros datos personales sean tratados con respeto, como debería ser. Pero, desde mi humilde opinión, no han sido desarrolladas para obstaculizar nuestras relaciones. Los datos personales son necesarios para que funcionemos como sociedad, se pueden y deben tratar, con el debido respeto, pero se pueden tratar, y en ese equilibrio debemos seguir trabajando.

David Barrientos

Equipo Govertis

Transferencias internacionales de datos – Anulación del acuerdo de “Privacy Shield”

El Reglamento(UE) 2016/679 General de Protección de Datos (en adelante RGPD), indica en su artículo 44:

“Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.

Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Y a continuación en los artículos 45 RGPD y siguientes, desarrolla el artículo 44 RGPD indicando diferentes condiciones mediante las que se pueden realizara transferencias internacionales de datos: (i)transferencias basadas en decisión de adecuación de la Comisión Europea, (ii) transferencias internacionales mediante garantías adecuadas, (iii) Normas corporativas vinculantes, etc. o algunas excepciones a la regla general del artículo 44 RGPD que se recogen en el artículo 49 RGPD

Imagen de Sumanley xulx en Pixabay

En el caso de las empresas de Estados Unidos y con el fin de garantizar que las transferencias y tratamientos de datos cumplían con las garantías adecuadas a la normativa sobre protección de Datos, y con este fin se aprobó en Julio de 2016 un acuerdo marco entre Estados Unidos y la Unión Europea. La comisión Europea adoptó la decisión de adecuación sobre este acuerdo “EU-US Privacy Shield” que obligaba a las empresas que se adscribieran al mismo a cumplir con determinadas obligaciones con el fin de garantizar la privacidad y las obligaciones y medidas de seguridad necesarias para garantizar un nivel de protección adecuado a los tratamientos de datos personales.

En la práctica, las empresas adscritas a este acuerdo de “Privacy Shield” eran empresas que aplicaban medidas de seguridad suficientes a los tratamientos de datos personales de acuerdo con la normativa de protección de datos y por lo tanto, aunque se encontrasen fuera del Espacio Económico Europeo, garantizaban los principios del RGPD .

Pero con la sentencia de 16 de Julio de 2020 Dictada por el Tribunal de Justicia de la Unión Europea en el Asunto C-311/18, este Tribunal ha anulado la decisión de adecuación del acuerdo de Privacy Shield, por entender (resumidamente) que: 

1. los derechos de los que el titular de los datos dispone no son los mismos en EEUU que en Europa.
2. La existencia de normativa interna en EEUU en relación al acceso y utilización de información por parte de las autoridades estadounidenses a los datos transferidos a empresas de EEUU y que establece límites a la protección de datos que no están regulados de forma equivalente
3. la facultad de EEUU de limitar el derecho a la protección de datos mediante programas de vigilancia a las empresas estadounidenses. Facultad que impone limitaciones a la protección de datos que el tribunal considera en ocasiones desproporcionadas 
4. considerar que los mecanismos de tutela del derecho a la protección de datos que prevé “Privacy Shield” no garantizan un nivel de protección suficiente 

De forma que las transferencias internacionales a empresas u organizaciones de Estados Unidos, solamente se podrán realizar mediante alguna de las otras garantías que indica el RGPD y por lo que todos aquéllos responsables del tratamiento que venían trabajando con empresas de Estados Unidos y que vayan a seguir trabajando con estas, se ven obligados a revisar la garantía adecuada mediante la que realizar transferencias internacionales.

Equipo Govertis

¿Cuándo se permite el tratamiento de los datos de una persona fallecida?

¿Qué sucede con los datos de las personas fallecidas y su privacidad ?

Actualmente la regulación sobre esta materia la encontramos en el Reglamento 2016/679/UE, de 27 de abril (en adelante RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales(en adelante, LOPDGDD), ambas normas disponen regulaciones complementarias sobre los datos de las personas fallecidas.

El RGPD por un lado establece ya en el Considerando 27 que a los datos de las personas fallecidas no se les aplica el mismo, incluso en los casos de datos con fines de archivo o de investigación histórica, si bien, deja abierta la posibilidad de que los Estados miembros establezcan normas relativas al tratamiento de los datos personales de estas.

Esta puerta abierta ha sido aprovechada por el legislador español para incluir en la LOPDGDD la regulación de los datos referidos a las personas fallecidas, pues, excluyendo del ámbito de aplicación de la ley su tratamiento, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido.

Al igual que regula el RGPD, el artículo 2.2 de la LOPDGDD dispone lo siguiente; que no será de aplicación la norma para el tratamiento de datos personales de personas fallecidas, salvo lo dispuesto en el artículo 3 de la misma.;

1. Las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.
   Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.
2. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión.
   Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos.
3. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada.
   En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el párrafo anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado”

Este artículo señala que las personas vinculadas al fallecido por razones familiares o, de hecho, así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión. Pero con una excepción; las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. No obstante, dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.

Además, hay que tener en cuenta que las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión.
Para los casos de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada. Y lo dispuesto para el fallecimiento de personas con discapacidad, estas facultades podrán ejercerse, además de por quienes señala en el caso de los menores, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

Por su parte, el titulo X de la LOPDGDD regula una serie de derechos digitales a los ciudadanos predicables al entorno de Internet, uno de estos derechos es el Testamento digital regulado en la LOPDGDD. Sobre el Testamento Digital la LOPDGDD establece la regulación del acceso a contenidos gestionados por prestadores de servicios de la sociedad de la información sobre personas fallecidas. Este acceso se rige teniendo en cuenta las siguientes pautas:

• Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán dirigirse a los prestadores de servicios de la sociedad de la información al objeto de acceder a dichos contenidos e impartirles las instrucciones que estimen oportunas sobre su utilización, destino o supresión. Como excepción, las personas mencionadas no podrán acceder a los contenidos del causante, ni solicitar su modificación o eliminación, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los contenidos que pudiesen formar parte del caudal relicto.
• El albacea testamentario, así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los contenidos con vistas a dar cumplimiento a tales instrucciones.
• En caso de personas fallecidas menores de edad, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada.
• En caso de fallecimiento de personas con discapacidad, estas facultades podrán ejercerse también, además de por quienes señala la letra anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

Aquellas personas legitimadas podrán decidir acerca del mantenimiento o eliminación de los perfiles personales de personas fallecidas en redes sociales o servicios equivalentes, exceptuando aquel caso en que el fallecido hubiera decidido acerca de esta circunstancia, en cuyo caso se estará a sus instrucciones. El responsable del servicio al que se le comunique la solicitud de eliminación del perfil deberá proceder sin dilación a la misma.

Podemos concluir, que lo recogido por la LOPDGDD abre la posibilidad de ejercer determinados derechos relativos a la protección de datos en nombre del difunto, atendiendo a determinadas normas.

Equipo Govertis

Cesión de datos del Padrón municipal al Juzgado de Paz

A lo largo del presente artículo se plantea la consulta sobre si resulta conforme a la normativa en materia de protección de datos, facilitar datos de carácter personal contenidos en el Padrón municipal de habitantes a solicitud de otras Administraciones Públicas, más en concreto al Juzgado de Paz del municipio.

De acuerdo con el Informe 0169/2009 de la Agencia Española de Protección de Datos (AEPD) las comunicaciones de datos de carácter personal objeto de la consulta implican un supuesto de cesión de datos de carácter personal entre organismos públicos, regulado, anteriormente, el artículo 21 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (AHORA: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).

Dicho precepto se vio afectado por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, indicando la redacción resultante de la anulación parcial del mismo que “los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos”. Es por ello que, la presente cesión sólo será posible cuando cedente y cesionario desempeñen unas mismas competencias o exista una norma con rango de Ley habilitante para la cesión.

En otro orden de cosas, debemos analizar, en primer lugar, la finalidad prevista en la propia normativa de régimen local atendiendo a los usos del Padrón que, tal y como dispone el artículo 16.1 de la Ley reguladora de las Bases del Régimen Local, es la de servir de registro administrativo donde consten los datos referidos a los vecinos del Municipio, constituyendo prueba de la residencia en el Municipio y el domicilio habitual.

De ello la AEPD considera que, el uso que la corporación haga de los datos contenidos en el padrón, incluidas las autorizaciones para poder acceder a su consulta, deberá circunscribirse a las funciones relacionadas estrictamente con las indicadas por la Ley. Cualquier otra utilización de los datos para un fin distinto supondrá una cesión o comunicación de los mismos que, tras lo establecido en la citada Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, deberá contar con el consentimiento del afectado o encontrar cobertura en alguna de las excepciones contenidas en el artículo 6.1 del Reglamento General de Protección de Datos, entre las que debe reseñarse, a los efectos del presente informe, la posibilidad de que exista una norma con rango de Ley habilitadora de la cesión.

Asimismo, la misma Agencia ha establecido que la expresión «datos del Padrón municipal» que se emplea en el artículo 16.3 de la LBRL se refiere únicamente a los datos que en sentido propio sirven para atender a la finalidad a que se destina el Padrón municipal: la determinación del domicilio o residencia habitual de los ciudadanos, la atribución de la condición de vecino, la determinación de la población del municipio y la acreditación de la residencia y domicilio. Por ello, cualquier comunicación o cesión de los datos del Padrón deberá fundarse en la necesidad por la Administración cesionaria, en el ejercicio de sus competencias, de conocer el dato del domicilio de la persona afectada, dado que del artículo 4.2 de la Ley se deriva la imposibilidad del tratamiento de los datos para fines diferentes de los que motivaron su recogida, salvo que así lo consienta el afectado o la Ley lo prescriba. Por ello, en la petición de datos padronales será necesario acreditar la relevancia en determinar la residencia o el domicilio del interesado, coincidiendo con las finalidades legalmente establecidas y que se han señalado con anterioridad. En resumen, este análisis supone que, si la solicitud de cesión de datos realizada por una Administración Pública no corresponde con las finalidades atribuidas al Padrón de Habitantes, se deberá determinar la denegación de la petición.

Ahora bien, ¿qué ocurre si el Juzgado de Paz solicita una copia del Padrón municipal de habitantes, a efectos de llevar a cabo las citaciones que desde el Juzgado se realizan? Para este caso concreto debemos acudir al Informe 0399/2010 de la AEPD.

En el presente supuesto se analiza la solicitud de copia del Padrón, con objeto de realizar por parte del Juzgado de Paz la práctica de citaciones, debiendo acudirse, por tanto, a lo previsto respecto de los actos de comunicación judicial en la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.

El artículo 155 de dicha norma dispone en cuanto a la comunicación con las partes que:

“1. Cuando las partes no actúen representadas por procurador o se trate del primer emplazamiento o citación al demandado, los actos de comunicación se harán por remisión al domicilio de los litigantes. En la cédula de emplazamiento o citación se hará constar el derecho a solicitar asistencia jurídica gratuita y el plazo para solicitarla.

2. El domicilio del demandante será el que haya hecho constar en la demanda o en la petición o solicitud con que se inicie el proceso. Asimismo, el demandante designará, como domicilio del demandado, a efectos del primer emplazamiento o citación de éste, uno o varios de los lugares a que se refiere el apartado siguiente de este artículo. Si el demandante designare varios lugares como domicilios, indicará el orden por el que, a su entender, puede efectuarse con éxito la comunicación.

Asimismo, el demandante deberá indicar cuantos datos conozca del demandado y que puedan ser de utilidad para la localización de éste, como números de teléfono, de fax o similares.

El demandado, una vez comparecido, podrá designar, para sucesivas comunicaciones, un domicilio distinto.”

Respecto a las averiguaciones del tribunal sobre el domicilio, el artículo 156 de la citada Ley establece lo siguiente:

“1. En los casos en que el demandante manifestare que le es imposible designar un domicilio o residencia del demandado, a efectos de su personación, se utilizarán por el Secretario judicial los medios oportunos para averiguar esas circunstancias, pudiendo dirigirse, en su caso, a los Registros, organismos, Colegios profesionales, entidades y empresas a que se refiere el apartado 3 del artículo 155. Al recibir estas comunicaciones, los Registros y organismos públicos procederán conforme a las disposiciones que regulen su actividad.

2. En ningún caso se considerará imposible la designación de domicilio a efectos de actos de comunicación si dicho domicilio constara en archivos o registros públicos, a los que pudiere tenerse acceso.”

Obligación ésta a la que también da cobertura lo previsto en el artículo 17 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, según el cual “Todas las personas y entidades públicas y privadas están obligadas a prestar, en la forma que la Ley establezca, la colaboración requerida por los Jueces y Tribunales en el curso del proceso y en la ejecución de lo resuelto, con las excepciones que establezcan la Constitución y las Leyes, y sin perjuicio del resarcimiento de los gastos y del abono de las remuneraciones debidas que procedan conforme a la Ley.”

En este sentido, podemos considerar que ni la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, ni la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, autorizan la cesión masiva de los datos personales contenidos en el padrón municipal, excepto en los supuestos en que la cesión sea “necesaria” para el ejercicio de sus respectivas competencias, en tanto que la necesidad, en este caso, se circunscribe a los datos del domicilio de las partes o personas que deban intervenir en un concreto proceso cuando dicho domicilio se desconozca.

De este modo, las previsiones a que se ha venido haciendo referencia son acordes con el principio de minimización previsto en el artículo 5.1.c) del RGPD: Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»).

De acuerdo con lo señalado por la AEPD, la cesión del dato del domicilio de los vecinos al Juzgado de Paz con la finalidad de comunicarse con ellos solamente resulta ajustada en el marco de un determinado proceso cuando se trate de vecinos que sean parte en el mismo o terceros que deban intervenir en él. En consecuencia, la entrega de los datos del domicilio de la generalidad de los vecinos de un municipio o de datos contenidos en el Padrón distintos del domicilio, incumple los criterios de adecuación, pertinencia y ponderación en relación con la finalidad pretendida.

En definitiva, no procede la entrega de una copia del Padrón municipal al Juzgado de Paz, por resultar contraria al principio de minimización previsto en el RGPD, sin perjuicio de que en cumplimiento de los preceptos antes señalados deba comunicarse a aquél, cuando así lo requiera en el curso de un proceso, con la finalidad de comunicarse con alguna persona que sea parte o deba intervenir en el mismo, el dato relativo a su domicilio.

Equipo Govertis

Cumplimiento de la protección de datos en el ámbito de la atención sociosanitaria

La Agencia Española de Protección de Datos (AEPD) publicaba recientemente el ‘Plan de Inspección de oficio de la atención sociosanitaria’, donde analiza por primera vez los tratamientos que se llevan a cabo en este ámbito e investiga su adecuación a la normativa de protección de datos con el fin de obtener una visión integral que permita detectar deficiencias. Entre las RECOMENDACIONES que realiza se destacan las siguientes:

Información al usuario

• Debe ser concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información.
• Preferiblemente, en capas. La primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, junto con las leyendas informativas insertas en todos los formularios de recogida de datos personales. En esta primera capa se pueden incluir referencias a otras capas de información más detallada, a las que el usuario deberá tener accesibilidad inmediata.

 Base jurídica

• Para cada actividad de tratamiento que se realice hay que identificar su base jurídica, que será una o varias de las recogidas en el 6 del RGPD en conjunción con las condiciones de tratamiento previstas en el art. 9.2.h) del RGPD.

Compartición de datos personales y perfiles de acceso

• Se debe minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario, sin mermar la atención sociosanitaria. No es válido permitir un acceso total a los datos de los usuarios a todos los profesionales que intervienen en la atención.
• Se deben elaborar perfiles de acceso que consideren las necesidades de información de cada profesional, desde el diseño de las aplicaciones, aplicando por defecto los privilegios de acceso mínimos necesarios para prestar la atención al usuario. Se debe realizar auditoría de los accesos.

Compromiso de confidencialidad

• Todos los empleados que traten datos personales de los usuarios deben suscribir un compromiso de confidencialidad.
• En todos los contratos de encargado de tratamiento, si los hubiere, deberá establecerse como obligatorio la firma del compromiso por parte de los empleados del encargado, siendo deseable que el modelo de compromiso concreto conste anexo al contrato de encargo.

 Documentos en papel

• Se debe evitar que los documentos en papel se encuentren dispersos en diferentes ubicaciones del centro.
• Su traslado debe realizarse con las suficientes medidas de seguridad (custodiados en todo momento y en sobre cerrado).
• Se deben crear procedimientos seguros para el traslado de la documentación y su almacenamiento, con mecanismos que impidan su acceso a personas no autorizadas.

 Usuarios genéricos

• No se deben utilizar usuarios genéricos, cuya utilización se comparte entre varios empleados, para el acceso a datos de carácter personal, ni de carácter básico ni de categorías especiales, ya que ello supone una vulnerabilidad de seguridad.

 Facilitar información a familiares

• Debe recabarse el consentimiento del usuario para facilitar información a familiares sobre su estancia o ubicación en el centro, así como de su estado de salud.
• En caso de urgencia vital o si la presencia de personas vinculadas al usuario por razones familiares o de hecho pudiera ser esencial para la debida atención del usuario, siempre y cuando el paciente no se haya opuesto a que dicha información sea facilitada, el centro puede informar si la persona se encuentra ingresada y su ubicación, sin indicar datos de categorías especiales o sobre la atención prestada.

 Utilización de fax o correo electrónico sin cifrar

• No se debería utilizar el fax ni el correo electrónico sin cifrar para la remisión de documentación que contenga datos personales de categorías especiales, como pueden ser datos de salud u otros datos como informes sociales, psicosociales o de evaluación.

 Contratos de encargo de tratamiento

• Deben especificar todas las obligaciones estipuladas por el RGPD, que deben ser consideradas y cumplidas durante la contratación, estableciendo los mecanismos necesarios para ello.
• En los contratos de prestación de servicios sin acceso a datos personales se debe prohibir expresamente el acceso a los mismos, e informar a los trabajadores de dicha prohibición. En el contrato deben considerarse también posibles accesos accidentales o fortuitos, con un compromiso de confidencialidad.

Evaluación de Impacto relativa a la Protección de Datos

• La Evaluación de Impacto relativa a la Protección de Datos (EIPD) es obligatoria para los nuevos tratamientos de los centros sociosanitarios, al presentarse datos de categorías especiales en número suficiente, considerando además la vulnerabilidad de sus usuarios y entendiendo que supone un alto riesgo para los derechos y libertades de estos.

Además de estas recomendaciones, el documento recoge una serie de PREGUNTAS Y RESPUESTAS FRECUENTES con las dudas generadas a lo largo de su ejecución. Entre ellas, destacamos:

• En un centro sociosanitario, ¿es posible cancelar determinados datos de un usuario a petición suya? Por ejemplo, datos de tipo social, como que sus hijos no le visitan, considerados imprescindibles para prestar la debida atención al reflejar los apoyos familiares.

Al no ser el consentimiento la base jurídica del tratamiento no cabe la revocación del consentimiento ni la oposición al tratamiento, por lo que la solicitud debe ser contestada motivando las razones por las cuales no se cancelan los datos. Una cautela apropiada podría ser marcar estos datos como confidenciales, estableciendo mecanismos para que solo sean consultados cuando sea estrictamente necesario y advirtiendo mediante un mensaje de su carácter especialmente sensible en cada uno de los accesos.

• En caso de órdenes de alejamiento relacionadas con un usuario del centro, ya sea por malos tratos, acoso, violencia de género… ¿es posible informar de ello a todos los empleados del centro, incluidos los que no tienen acceso a datos de carácter personal, como puede ser empleados de contratas de limpieza?

La información debe trasladarse a todo el personal que tenga la función de identificar visitas y tomar decisiones sobre las mismas. Hay que tener en cuenta que todo el personal, con y sin acceso a datos personales, debería tener suscrito un compromiso de confidencialidad.

• Si un organismo como un Juzgado solicita datos de categorías especiales de un usuario del centro, como datos de salud, vía un medio de comunicación que se puede considerar inseguro, tal como el fax o correo electrónico sin cifrar, ¿se debe dar curso a la solicitud?

Desde una perspectiva de protección de datos, no se debería utilizar el fax para remitir documentación que contenga datos de categorías especiales. Se debería poner de manifiesto al organismo en cuestión que en la actualidad existen otras vías, sencillas, igual de rápidas y más seguras, como por ejemplo el correo electrónico cifrado, acordando con el organismo el envío de forma segura de la documentación citada.

• En los puestos de guardia, o puestos donde se realizan pruebas médicas, donde se establecen turnos y hay equipos en funcionamiento las 24 horas por necesidades del servicio, ¿es posible compartir el usuario del sistema de información para evitar salir y entrar del sistema?

No se debe compartir la utilización del usuario, ni desvelar la clave de acceso asociada a ningún empleado, compañero o tercera persona. Tampoco deben utilizarse usuarios genéricos compartidos. Cada empleado, cuando comienza su jornada, debe iniciar sesión con su usuario y cerrarla al terminar.

• ¿Es posible colocar carteles con nombres y apellidos de los usuarios de un centro en las puertas de sus habitaciones con el objetivo de que no se extravíen o entren por error en otra habitación que no es la suya, así como para facilitar las visitas? ¿Y colocar carteles en las mesas del comedor con la identificación (nombre y apellidos o fotografía) del usuario y sus alergias, disfagias, u otras características de especial relevancia durante la comida?

Se deberá valorar la necesidad de identificar a los pacientes, considerando otras medidas menos intrusivas para la privacidad que puedan existir y que ofrezcan garantías de seguridad equivalentes. Así, por ejemplo, en lugar de colocar un cartel con el nombre y apellidos del usuario en la puerta de su habitación, disponer el número de la habitación en una ficha o distintivo portado por el usuario. Respecto a la información, deberá ser la mínima necesaria que permita la administración segura de los alimentos o medicamentos, valorándose positivamente otras alternativas que permitan que la información esté exclusivamente a disposición de los trabajadores del comedor que lo necesiten, sin mantenerse expuesta a toda la concurrencia.

Equipo Govertis

La quinta generación y su impacto en la privacidad

Los teléfonos móviles nos acompañan desde hace mucho tiempo, su uso está presente en prácticamente todas las actividades sociales y laborales, y su evolución ha ido creciendo a pasos agigantados. Recientemente, la AEPD ha publicado una nota técnica relativa a las tecnologías 5G de comunicaciones móviles y de los riesgos para la privacidad que pueden conllevar implícito tanto esta tecnología, como otras que hagan uso de ella. A continuación, analizaremos dicho documento.

¿Qué es la tecnología 5G?

Los avances en telefonía móvil se describen en forma de generaciones. 5G significa quinta generación y es una evolución de los protocolos 4G. La tecnología 5G implica muchas mejoras en estos dispositivos (mayor velocidad, mejor conexión, virtualización, etc.), es el paso definitivo hacia el internet móvil. Actualmente las empresas de telecomunicación están desarrollando sus prototipos, ya que para poder desplegar la tecnología 5G será necesaria una renovación tecnológica que implicará grandes cambios.

¿Qué riesgos supone para la privacidad?

Con la llegada de la tecnología 5G aparecen nuevas funcionalidades, pero a su vez nuevas amenazas, además de las que ya estaban presentes en otras generaciones.  Desde que internet llegó a los teléfonos, todas las amenazas de la red se trasladaron a dichos dispositivos.

Respecto a la quinta generación, muchos riesgos ya presentes se verán aumentados, como es el caso de la geolocalización, que podrá ser más precisa gracias al aumento de estaciones y la menor distancia entre ellas. También crecerán los ciberataques, ya que asciende la exposición a estos por el incremento de conexiones y de puntos de entrada, cuantos más dispositivos se conecten a una red, más puntos potenciales de vulnerabilidad se crearán.

Otro riesgo asociado a esta nueva generación es el perfilado y las decisiones automatizadas que, debido al incremento en cantidad y categoría de datos circulando por la red, así como a un mayor número de dispositivos conectados por 5G (IoT), se podrá conseguir una individualización más precisa y se podrán desplegar servicios que permitan la toma de decisiones automáticas sobre las personas.

Además, crecerá el número de sujetos que participen en el tratamiento (fabricantes, operadores de red, proveedores de servicios, etc.), y podrá suponer un problema en cuanto a la asignación de responsabilidades en el tratamiento de datos y en carecer de un modelo homogéneo de medidas de seguridad a implantar.

Tal como cita la AEPD, se trata de una lista de riesgos no exhaustiva y que deben tomarse en consideración desde las primeras fases del diseño de los tratamientos, para la implementación de medidas técnicas y organizativas adecuadas, y dar cumplimiento al art. 25 del RGPD por parte de los desarrolladores y fabricantes.

¿Qué medidas se pueden adoptar?

La tecnología ya incorpora importantes mejoras en las medidas de seguridad respecto a generaciones anteriores, pero se dejan algunos mecanismos a criterios del operador de telefonía.

Los desarrolladores y fabricantes deberán suministrar productos con un adecuado nivel de cumplimiento del RGPD, pero también el resto de los agentes que presten servicio dentro de esas redes de comunicaciones tendrán la responsabilidad de adoptar medidas y garantías.

Se deben llevar a cabo procesos de gestión de riesgos y Evaluaciones de Impacto en los proveedores de servicio, operadores y fabricantes, con el fin de identificar y mitigar nuevos riesgos en la red 5G como un todo y no solo en la operación singular de cada agente.

Debe proporcionarse información a los interesados según lo establecido en la normativa; implementar mecanismos de transparencia y trazabilidad; definir los roles y responsabilidades desde el punto de vista de protección de datos y delimitar las obligaciones de cada uno de los intervinientes. Se deben implantar medidas de minimización de datos, garantizar comunicaciones cifradas y desarrollar modelos de cifrado, adecuar el uso de decisiones automatizadas a lo dispuesto en el RGPD y establecer garantías en el caso de transferencias internacionales.

Estas son algunas entre otras muchas medidas que serán necesarias para garantizar la privacidad de los individuos que utilicen estos dispositivos, ya que, como dice la AEPD en su informe, “el establecimiento de un marco de confianza en la seguridad de los tratamientos de datos en 5G es un factor imprescindible para garantizar su éxito”.

Bibliografía: https://www.aepd.es/sites/default/files/2020-06/nota-tecnica-privacidad-5g.pdf

Equipo Govertis

Teletrabajo y protección de datos

El teletrabajo es una modalidad laboral recogida en el Estatuto de los Trabajadores en el artículo 38.4 en el que se señala la importancia de poder solicitar a la empresa la adaptación de la duración y distribución de jornada, en la ordenación del tiempo de trabajo y en la forma de prestación, incluida la prestación de su trabajo a distancia, para hacer efectivo su derecho a la conciliación de la vida familiar y laboral.

Además, se recoge en el  Artículo 13 del Estatuto de los Trabajadores la figura del teletrabajo como trabajo a distancia, en los siguientes términos:

<<1. Tendrá la consideración de trabajo a distancia aquel en que la prestación de la actividad laboral se realice de manera preponderante en el domicilio del trabajador o en el lugar libremente elegido por este, de modo alternativo a su desarrollo presencial en el centro de trabajo de la empresa”.

No obstante, de ser un derecho, se convierte en una obligación al producirse situaciones excepcionales como la pandemia que ha golpeado nuestro entorno.

Así se ha puesto de manifiesto por las empresas que se han visto obligadas a adoptar las medidas pertinentes y prestar los servicios de manera telemática, si bien deben de cumplir con una serie de requisitos.

En nuestra normativa en protección de datos podemos encontrar una referencia a la desconexión digital en el artículo 88.1 de la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD) al precisar que las empresas deberán garantizar el tiempo de descanso, permisos y vacaciones, así como su intimidad personal y familiar, debiendo potenciarse en las modalidades del ejercicio laboral el derecho a la conciliación de la actividad laboral, vida personal y familiar (artículo 88.2 LOPDGDD).

Las condiciones de ejercicio de este nuevo derecho deberán establecerse en el marco de una negociación colectiva o entre lo acordado entre la empresa y los representantes de los trabajadores, eso sí adoptando previamente, una normativa o política interna o protocolo en el que se desarrollen las modalidades de ejercicio a la desconexión y especial atención medidas de sensibilización del personal laboral para impedir la fatiga informática laboral, especialmente cuando el trabajo se realiza a distancia, en el domicilio o a través del teletrabajo (artículo 88.3 de la LOPDGDD).

Es difícil reconocer el derecho a la desconexión digital, se complica aun más si cabe cuando el trabajador/a se encuentra teletrabajando en su propio domicilio con cargas familiares, no obstante,  estos protocolos de actuación deberán incluir garantías adicionales que consistan en preservar el derecho a la intimidad y desconexión digital así como preservar la seguridad de la información adoptando las medidas técnico organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (artículo 32 Reglamento Europeo de Protección de Datos, RGPD)

Entre las medidas de seguridad adoptadas por la empresa podemos considerar las siguientes:

• Se utilizarán los canales de comunicación para el establecimiento de VPN (Virtual Private Network).
• Vigilancia y control del dispositivo físico facilitado por la empresa, así como precaución en el transporte y traslado de los mismos.
• Implantación de contraseñas fuertes y robustas, así como el doble factor de autenticación en correos corporativos y particulares.
• Uso de plataformas Mobile Device Management (gestión de dispositivos móviles) en los terminales aportados a los empleados. MDM es un conjunto de software que permite monitorizar, controlar y asegurar dispositivos móviles, que incluso permitan el borrado remoto de los dispositivos.
• Evitar el acceso a terceros a la información y documentación existente en nuestros dispositivos, así mejoramos la confidencialidad de la información.
• Realizar copias de seguridad de nuestros dispositivos y equipos informáticos en nuestra red corporativa, y evitar las copias en unidades locales.
• Comunicar a nuestra organización cualquier incidencia o brecha de seguridad Ante la pérdida o robo de un dispositivo móvil, infectada por un virus u otro software malicioso o acceso no autorizado de conformidad con el Protocolo de nuestra organización, así se podrá valorar la notificación a la AEPD.
• Actualiza el antivirus y firmware de tu dispositivo o equipo para evitar agujeros de seguridad o vulnerabilidades en nuestro sistema.
• Reuniones periódicas del comité de control y seguimiento de la crisis sanitaria creado en la empresa, que asuma tareas de formación y concienciación del personal que resuelvan todas las dudas que se puedan plantear en la gestión de la crisis.

En definitiva, el artículo 88 de la LOPDGDD instaura un nuevo derecho para los trabajadores y empleados públicos  que nos permite disponer de herramientas para compatibilizar el escenario laboral con el familiar, entre las que destacamos a modo de resumen, según la normativa de protección de datos:

• Obligación a las empresas de la aprobación formal de una política interna que regule el derecho a la desconexión digital, previa audiencia de los representantes de los trabajadores.
• La política deberá aplicar también al personal directivo acompañada de un plan de formación y de concienciación del personal.
• La política debe tener en cuenta la naturaleza, objeto de la relación laboral así como las excepcionalidades actuales tipo accidentes, emergencias o crisis sanitarias como la que estamos atravesando.

Y entre las medias de seguridad adoptadas deberán implementarse las siguientes:

-Continuidad de las empresas en la notificación de brechas de seguridad a la autoridad de control, en nuestro caso la Agencia Española de Protección de datos. (https://www.aepd.es/es/prensa-y-comunicacion/blog/notificacion-de-brechas-de-seguridad-de-los-datos-personales-durante-el)

-Adopción de medidas técnico-organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo entre las que podemos resaltar la utilización de herramientas corporativas que nos permitan realizar el teletrabajo, el uso de dispositivos personales Bring your own device (BYOD) con plataformas MDM, conexión VPN, actualización de antivirus y firewalls, revisión de permisos de usuarios, contraseña doble factor de autenticación. Entre algunas herramientas, guías y recomendaciones de buenas prácticas a destacar consideramos las realizadas por la AEPD en el siguiente enlace: https://www.aepd.es/es/areas-de-actuacion/recomendaciones/medidas 

Con todos estos mecanismos podremos teletrabajar de forma segura garantizando la seguridad o cualquier evento venidero  con una mayor seguridad y protección de nuestra intimidad en este “nuevo” entorno denominado teletrabajo, ya que no se trata sólo del cumplimiento formal de la LOPDGDD sino de equilibrar el uso de las nuevas tecnologías con la gestión más eficiente de los tiempos de descanso aumentando la productividad, reduciendo el estrés y mejorando la imagen corporativa interna y externa de nuestras organizaciones.

Equipo Govertis

¿Qué datos biométricos se conciben como de categoría especial?

A partir del Informe Jurídico 36/2020 de la Agencia Española de Protección de Datos (AEPD), en el que, entre otros, se trata el uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación on-line, podemos obtener una respuesta a esta cuestión.

Por una parte, el artículo 4.14 RGPD define como «datos biométricos» aquellos “datos personales obtenidos a partir de un tratamiento técnico especifico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. Y, por otra parte, el artículo 9.1 RGPD, incluye entre los datos de categoría especial “datos biométricos dirigidos a identificar de manera univoca a una persona física”.

Según la AEPD, “en una interpretación conjunta de ambos preceptos parece dar a entender que los datos biométricos solo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento técnico especifico dirigido a identificar de manera univoca a una persona física” y, en este sentido, igualmente se pronuncia el Considerando 51.

Al objeto de aclarar las dudas interpretativas, la AEPD atiende al Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo del Artículo 29, en el que se distingue:

• Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

Identificación biométrica uno-a-varios de huella dactilar en escenario crimen por Fuerzas y Cuerpos de Seguridad

• Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).

Verificación/Autenticación uno-a-uno en control de acceso por huella dactilar al puesto de trabajo

Atendiendo a la citada distinción, la AEPD entiende que el concepto de dato biométrico incluye ambos supuestos. Sin embargo, y con carácter general, únicamente tendrán la consideración de categoría especial en los supuestos de identificación biométrica (uno-a varios).

No obstante, la AEPD considera que “se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto”. Y nos termina diciendo que, “en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados”.

Equipo de Govertis

COVID-19: Controles de temperatura y su encaje en la normativa de protección de datos

¿SE PUEDE UTILIZAR EL CONTROL DE TEMPERATURA PARA EL ACCESO DEL PERSONAL AL CENTRO DE TRABAJO?

EN CASO AFIRMATIVO, ¿DE QUÉ FORMA PUEDO HACERLO Y QUÉ GARANTÍAS DEBO CUMPLIR?

¿SE PUEDE UTILIZAR EL CONTROL DE TEMPERATURA PARA EL ACCESO DE CLIENTES Y VISITANTES EN GENERAL?

La Agencia Española de Protección de Datos ha publicado un comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos para determinar quién puede acceder a los mismos.

El objetivo de estos sistemas es controlar el acceso a instalaciones para evitar posibles contagios de COVID-19, en tanto que la temperatura es indiciaria de haber contraído la enfermedad, y, por tanto, del riesgo de contagio.

La temperatura asociada a un sujeto identificable constituye un dato de salud, de acuerdo a la interpretación amplia que hace la normativa, por lo que es objeto de especial protección. La legitimación para realizar este tratamiento parte, entre otros, del Considerando (46) del RGPD, que reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público como en el interés vital del interesado u otra persona física: “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.

¿SE PUEDE UTILIZAR EL CONTROL DE TEMPERATURA PARA EL ACCESO DEL PERSONAL AL CENTRO DE TRABAJO?

SÍ, con ciertos requisitos

En el caso de centros de trabajo, la legitimidad de este tratamiento la corrobora la propia AEPD en sus FAQ,s sobre el COVID-19,  donde indica que el empleador “podrá tomar la temperatura a los trabajadores, como medida relacionada con la vigilancia de su salud en materia de Prevención de Riesgos Laborales”. Esto puede entenderse en tanto que, según corrobora la OMS, el signo más frecuente en los pacientes COVID-19 es la fiebre.

Continúa la Agencia en la nota informativa estableciendo que “la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento”.

Añade la Agencia en su comunicado, en relación con esta toma de temperatura para determinar el acceso, que “requeriría la determinación previa que haga la autoridad sanitaria competente (…) de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados”, por lo que “estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas”.

En este sentido, el “Procedimiento de actuación para los servicios de prevencion de riesgos laborales frente a la exposición al SARSCOV-2”, elaborado por el Ministerio de Sanidad, recomienda a los servicios de PRL lo siguiente:

“Dado que el contacto con el virus puede afectar a entornos sanitarios y no sanitarios, corresponde a las empresas evaluar el riesgo de exposición en que se pueden encontrar las personas trabajadoras en cada una de la tareas diferenciadas que realizan y seguir las recomendaciones que sobre el particular emita el servicio de prevención, siguiendo las pautas y recomendaciones formuladas por las autoridades sanitarias”.

Por tanto, en cuanto no hay mención expresa por parte del Ministerio sobre el control de temperatura, la decisión de adoptar tal medida recae en la empresa, a través de su servicio de PRL.

EN CASO AFIRMATIVO, ¿DE QUÉ FORMA PUEDO HACERLO Y QUÉ GARANTÍAS DEBO CUMPLIR?

Sigue la Agencia en la citada nota recordando que este tratamiento lícito debe cumplir las “garantías adecuadas”. Sobre estas garantías, la autoridad de control indica que “los datos (de temperatura) solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas. Pero esos datos no deben ser utilizados para ninguna otra finalidad. Esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica”

También habla del principio de exactitud, advirtiendo que “los equipos de medición deben ser homologados y adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes”. En este sentido, añade que “el personal que los emplee debe reunir los requisitos legalmente establecidos y estar formado en su uso”.

Por último, la Agencia señala que “debieran considerarse, entre otras, medidas (…) para permitir que las personas en que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado (por ejemplo, justificando que su temperatura elevada obedece a otras razones). Para ello, el personal deberá estar cualificado para poder valorar esas razones adicionales o debe establecerse un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla y, en su caso, permitir el acceso”.

En cumplimiento de todo lo antedicho, se recomiendan las siguientes actuaciones:

• Uso de dispositivos que se limiten a la toma de temperatura, sin que se registre esta información asociando los datos al usuario.
• No destinar los datos de temperatura a otra finalidad que no sea la propia de la detección del contagio.
• Que los equipos que se utilicen sean homologados y adecuados.
• Que el personal esté formado en el uso de los mismos. Al no hacerse referencia a que tenga que ser necesariamente personal sanitario el que realice la toma de temperatura, cabría la posibilidad de que ésta se realice por personal de seguridad. El artículo 32.1.a) de la Ley de Seguridad Privada establece que corresponde a los vigilantes de seguridad, entre otras, ejercer la vigilancia y protección de bienes, establecimientos, lugares y eventos, tanto privados como públicos, así como la protección de las personas que puedan encontrarse en los mismos, llevando a cabo las comprobaciones, registros y prevenciones necesarias para el cumplimiento de su misión. El sometimiento a controles de acceso a un establecimiento público o privado “será de obligado cumplimiento si así se establece por los responsables del mismo“. En la situación actual, la utilización de termómetros estaría encuadrada dentro de la utilización de medios técnicos que complementan las medidas de seguridad, para proteger a los clientes y trabajadores del establecimiento. Por tanto, un vigilante de seguridad privada reuniría los “requisitos legalmente establecidos”, pero sería necesario que acreditaran estar formados en el uso de estos dispositivos. En definitiva, si no es posible que este control se haga por personal sanitario, se podría acudir al personal de seguridad cumpliendo los requisitos comentados.
• En el caso de control de temperatura a trabajadores para acceso al centro de trabajo, que exista un protocolo, consensuado con el servicio de prevención y los representantes de los trabajadores, para los casos en que se detecte una temperatura superior a la normal, mediante el cual se derive al interesado a personal cualificado que pueda atenderle, de acuerdo a lo que se indique en dicho protocolo. En ningún caso esta derivación puede suponer un tratamiento de esta información por personal distinto a los médicos de la empresa o del servicio de prevención. Una vez aprobado el protocolo, que se envíe una circular al personal informando de la puesta en marcha de este sistema, Así mismo, también sería necesario informar en el momento de la toma de temperatura.

Cabe recordar la necesidad de actualizar el Registro de actividades de tratamiento con las operaciones indicadas, así como la realización de una evaluación de impacto de protección de datos, en su caso, una vez acordado el sistema de control a implantar.

Tabla 1 Infografía

¿SE PUEDE UTILIZAR EL CONTROL DE TEMPERATURA PARA EL ACCESO DE CLIENTES Y VISITANTES EN GENERAL?

NO es recomendable. De momento, optar por medios menos invasivos

En este supuesto, si bien la habilitación legal para el tratamiento de datos puede partir de la necesidad de “proteger un interés esencial para la vida del interesado o la de otra persona física (…) como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”, y por “por razones de interés público en el ámbito de la salud pública”, y el uso del control de temperatura (sin registro de datos) podría considerarse una medida proporcionada y lícita para cumplir con esta necesidad, la AEPD en su comunicado deja la decisión de la necesidad y adecuación de la medida a las autoridades sanitarias, así como la determinación, en su caso, de la temperatura a partir de la cual se considere posible contagio:

“Es por ello que estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas.

Por otro lado, esos criterios deben incluir también precisiones sobre los aspectos centrales de la aplicación de estas medidas. Así, por ejemplo, la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID – 19 debería establecerse atendiendo a la evidencia científica disponible. No debería ser una decisión que asuma cada entidad que implante estas prácticas, ya que ello supondría una aplicación heterogénea que disminuiría en cualquier caso su eficacia y podría dar lugar a discriminaciones injustificadas”.

¿Y por qué la AEPD considera que las autoridades sanitarias son las que han de establecer los criterios de aplicación de la medida, así como pronunciarse sobre su utilidad y proporcionalidad? 

Porque las concretas medidas, destinadas a prevenir y combatir el contagio del virus, deben ser determinadas por las autoridades sanitarias, en base a sus propias competencias. Así, la necesidad, proporcionalidad y adecuación de la medida dependerá de la estrategia que las autoridades sanitarias hayan planificado y valorado. Debe entenderse, por tanto,  que corresponde, en primer lugar, a la autoridad sanitaria, valorar la idoneidad, necesidad y proporcionalidad de las medidas (por ejemplo, uso de mascarilla obligatorio en transporte público, la realización de test masivos y utilización de aplicaciones móviles de rastreo para alertar a posibles contactos sobre una potencial exposición al virus).  No se puede afirmar a priori si la medida es adecuada o proporcional, a los efectos de ser adoptada en nuestra organización, si no la ponemos en relación con la estrategia sanitaria concreta.

Por tanto, nuestra recomendación es esperar a un previsible pronunciamiento específico de las autoridades sanitarias sobre esta cuestión, optando entretanto por medidas de prevención menos invasivas. Si esto no fuera posible, habría que realizar una evaluación de impacto para valorar la viabilidad del tratamiento, así como las garantías a emplear.

Equipo Govertis